CVE-2025-62630 是 DeviceOn/iEdge 软件中发现的路径遍历漏洞。该漏洞允许攻击者通过上传精心构造的配置文件,在系统中遍历目录,并最终可能获得系统级权限执行恶意代码。受影响的版本包括 0–2.0.2。DeviceOn 已发布 2.0.3 版本以修复此问题。
该路径遍历漏洞的潜在影响非常严重。攻击者可以利用此漏洞绕过访问控制机制,访问敏感文件和目录,甚至可能在系统上执行任意代码。成功利用此漏洞可能导致数据泄露、系统被完全控制,以及其他严重的后果。由于该漏洞允许获得系统级权限,因此攻击者可以进行横向移动,进一步扩大攻击范围,影响整个网络环境。类似于某些文件上传漏洞,攻击者可能利用此漏洞上传后门程序,长期控制受影响的系统。
目前尚无公开的漏洞利用程序 (PoC),但该漏洞的严重性较高,且允许获得系统级权限,因此存在被利用的风险。该漏洞已于 2025 年 11 月 6 日公开披露。CISA 尚未将其添加到 KEV 目录,但应密切关注其动态。建议持续监控安全社区的最新动态,以获取有关此漏洞利用的更多信息。
Organizations deploying DeviceOn/iEdge in environments with limited network segmentation or lacking robust file upload security controls are at heightened risk. Systems handling sensitive data or critical infrastructure are particularly vulnerable. Shared hosting environments utilizing DeviceOn/iEdge should be assessed for potential cross-tenant impact.
disclosure
漏洞利用状态
EPSS
0.18% (40% 百分位)
CISA SSVC
CVSS 向量
为了缓解 CVE-2025-62630 的风险,首要措施是立即将 DeviceOn/iEdge 升级至 2.0.3 或更高版本。如果升级不可行,可以考虑以下临时缓解措施:严格限制上传文件的来源和类型,实施严格的访问控制策略,确保只有授权用户才能访问敏感目录。此外,可以配置 Web 应用防火墙 (WAF) 或代理服务器,以检测和阻止恶意文件上传请求。监控系统日志,查找异常的文件访问行为,并及时响应。升级后,确认漏洞已修复,可以通过尝试上传恶意配置文件并验证是否被阻止来验证。
Actualice DeviceOn/iEdge a una versión posterior a 2.0.2 que corrija la vulnerabilidad de path traversal. Consulte el sitio web de Advantech para obtener la última versión y las instrucciones de actualización. Aplique las configuraciones de seguridad recomendadas por el proveedor para mitigar el riesgo de ejecución remota de código.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-62630 是 DeviceOn/iEdge 软件中发现的路径遍历漏洞,允许攻击者通过上传恶意配置文件遍历目录并可能执行代码。
如果您正在使用 DeviceOn/iEdge 0–2.0.2 版本,则可能受到影响。请立即升级至 2.0.3 或更高版本。
最有效的修复方法是升级至 DeviceOn/iEdge 2.0.3 或更高版本。如果无法升级,请实施临时缓解措施,如限制文件上传和加强访问控制。
目前尚无公开的漏洞利用程序,但由于漏洞的严重性,存在被利用的风险。建议密切关注安全动态。
请访问 DeviceOn 官方网站或安全公告页面,查找有关 CVE-2025-62630 的详细信息和修复指南。